Plataforma
kubernetes
Componente
rancher
Corregido en
2.7.14
2.8.5
La vulnerabilidad CVE-2023-32197 es una falla de gestión de privilegios impropia en Rancher, específicamente en objetos RoleTemplate cuando se establece el parámetro external=true. Esta condición puede permitir la escalada de privilegios en escenarios específicos, comprometiendo la seguridad del clúster Kubernetes. Afecta a las versiones de Rancher desde 2.7.0 hasta, pero sin incluir, la versión 2.7.14, y a las versiones desde 2.8.0 hasta, pero sin incluir, la versión 2.8.5. La solución recomendada es actualizar a la versión 2.8.5.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a recursos y funcionalidades dentro del clúster Kubernetes gestionado por Rancher. La escalada de privilegios permite al atacante realizar acciones que normalmente estarían restringidas a usuarios con roles más elevados, como modificar configuraciones críticas, acceder a datos sensibles o incluso tomar control del clúster. El impacto potencial es significativo, especialmente en entornos donde Rancher se utiliza para gestionar clústeres de producción con aplicaciones de misión crítica. La capacidad de escalar privilegios podría permitir el movimiento lateral dentro del clúster, comprometiendo otros pods y servicios. La superficie de ataque se amplía significativamente si el RoleTemplate vulnerable se utiliza en múltiples clústeres o entornos.
La vulnerabilidad CVE-2023-32197 fue publicada el 16 de abril de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. Aunque no existen pruebas de explotación pública, la naturaleza de la vulnerabilidad (escalada de privilegios) la convierte en un objetivo atractivo para actores maliciosos. Se recomienda aplicar la mitigación lo antes posible para reducir el riesgo de exposición.
Organizations heavily reliant on Rancher for Kubernetes cluster management, particularly those utilizing external RoleTemplate objects for managing access control, are at heightened risk. Shared hosting environments where multiple tenants share a Rancher instance are also particularly vulnerable, as a compromised RoleTemplate could impact multiple tenants.
• kubernetes / rancher:
kubectl get roletemplate --all-namespaces -o yaml | grep external: true• kubernetes / rancher:
journalctl -u rancher -f | grep "RoleTemplate objects when external=true"• kubernetes / rancher:
# Check for unusual role assignments
kubectl get rolebindings -A -o yaml | grep -E 'role:.*external=true'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2023-32197 es actualizar Rancher a la versión 2.8.5 o superior. Si la actualización inmediata no es posible debido a restricciones de compatibilidad o ventanas de mantenimiento, se recomienda revisar y restringir el uso de objetos RoleTemplate con external=true. Considere implementar políticas de control de acceso más estrictas para limitar los privilegios otorgados a los usuarios y roles. Monitoree los logs de Rancher en busca de actividades sospechosas relacionadas con la manipulación de RoleTemplate. Si se sospecha de una intrusión, se recomienda aislar el clúster afectado y realizar una investigación forense. Después de la actualización, confirme la mitigación revisando la configuración de RoleTemplate y verificando que el parámetro external esté configurado correctamente.
Actualice Rancher a la versión 2.7.14 o superior, o a la versión 2.8.5 o superior, según corresponda. Esto corrige la vulnerabilidad de escalada de privilegios relacionada con RoleTemplates externos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-32197 is a vulnerability in SUSE Rancher allowing privilege escalation through improperly managed RoleTemplate objects when external=true is set. It affects versions 2.7.0–2.8.5 and is rated MEDIUM severity.
You are affected if you are running Rancher versions 2.7.0 through 2.8.5 and are using RoleTemplate objects with external=true.
Upgrade Rancher to version 2.8.5 or later. As a temporary workaround, restrict access to RoleTemplate objects with external=true.
There are no widespread reports of active exploitation at this time, but the potential for privilege escalation warrants prompt remediation.
Refer to the SUSE Security Advisory for detailed information and updates: [https://www.suse.com/security/cve/CVE-2023-32197/](https://www.suse.com/security/cve/CVE-2023-32197/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.